問題背景

在一個活動目錄域xyzz.internal中，有兩臺域控制器（Domain Controller），各位于一個站點。

問題

當我們在其中一臺域控制器上的服務器管理器中打開DNS管理工具時，卻看到類似如下錯誤，提示拒絕訪問或RPC服務器不可用。

原因

該域控制器的計算機賬戶（Computer Account）已無法在域中與其自身、其它域控制器或模擬的主域控制器（Primary Domain Controller，PDC）驗證。可能的原因之一包括該設備太久未曾開機，導致其計算機賬戶的密碼過期。

解決方法

我們可以嘗試重置該問題設備的計算機賬戶密碼。要想達成此，在出現該問題的設備上，先停止KDC服務，并清空所有老舊證書。

net stop kdc
klist purge

在問題設備上運行下面的命令。

netdom resetpwd /server:PDC或任意良好DC的FQDN /userd:域\任意有足夠權限的域管理員賬戶 /passwordd:*

例如：

netdom resetpwd /server:PDC.domain.com /userd:DOMAIN\Administrator /passwordd:*

系統會讓你鍵入選中域管理員賬號的密碼。
之后，重新啟用KDC服務。

net start kdc

最后，重啟所有域內域控制器。

不管用？

Windows Server的行為復雜而詭異。你還可以嘗試下面的內容：

• 再次在出問題的DC上執行該步驟，但重設密碼時嘗試指向其它良好的DC，甚至是損壞的DC或自己（127.0.0.1）。
• 在良好的DC上執行該步驟。重設密碼時指向其它良好的DC，或甚至是損壞的DC。有時，就可能神奇地奏效。
• 如果是在打開組策略管理時看到了類似錯誤提示，你可能先要執行本文中描述的步驟，并嘗試進行一次分布式文件系統授權還原（Distributed File System Authoratative Restore）。

結語

盡管微軟自稱自己的活動目錄產品穩定耐用，然而事實恰好相反，往往是系統管理員的噩夢。而即使出現錯誤，人們卻總是有把問題完全歸結為管理員責任的傾向。